《gmp计算机化系统条款解读》由会员分享,可在线阅读,更多相关《gmp计算机化系统条款解读(13页珍藏版)》请在金锄头文库上搜索。
1、计算机化系统整体及条款解读 一、整体解读 通读全文,该附录共有 6 章 24 个条款,笔者对其内容分布整理如下: 章节 条款数 主要内容 第一章范围 1 条 讲到什么样的计算计化系统才是需要被验证的, 以及计算机化系统的定义和构成 第二章原则 3 条 讲到计算机化系统验证的目的、 风险控制以及对供应商的管理要求 第三章人员 1 条 讲到验证相关人员的职责、权限和培训要求 第四章验证 4 条 再次强调验证范围、 程度, 要建立计算机化系统清单,以及不同类别软件的验证策略和数据迁移要求 第五章系统 14 条 从验证系统的安装、测试、使用、变更、数据打印、系统故障应急预案、 系统的产品放行以及电子签
2、名作出了明确要求 第六章术语 1 条 涉及电子数据、 系统生命周期、 数据审计跟踪和数据完整性等名词 二、条款解读 原文内容原文内容: 第一条:本附录适用于在药品生产质量管理过程中应用的计算机化系统,计算机化系统由一系列硬件和软件组成,以满足特定的功能。 原文解读原文解读: 第一条:此附录描述了计算机化系统的适用范围,是在药品生产质量过程中,这是其一;其二,什么是计算机化系统,由一系列硬件和软件组成,从字面上来看,这个定义和“计算机系统”没有本质区别,主要区别在于后面这几个字“以满足特定的功能”。按照 PIC/S PI011-3 指南的定义,计算机化系统(Computerized System
3、)由计算机系统(Computer System)和被其控制的功能和流程组成。 那么,在制药企业计算机化系统究竟包括哪些呢?下图举例来说明,大家就一目了然了,清楚多了。 原文内容原文内容: 第二条:计算机化系统代替人工操作时,应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响,不增加总体风险。 原文解读原文解读: 第二条:很显然,这一条主旨是说计算机化系统可以代替人工操作,提高工作效率,但是需考虑这种替代或变革随之带来的风险,这种风险可能是来自产品质量的、过程控制的,也可能是整个质量保证体系的,需慎重、全面考虑这种变革带来的诸多影响,原则上同过去手工操作相比,不增加总体风险即可。这一条
4、其实给整个附录定了一个基调,就是凡是大到变革、小到变更,只要有变化都要做好风险识别和风险评估工作,这是一切“变”的前提和刚性要求。 原文内容原文内容: 第三条:风险管理应当贯穿计算机化系统的生命周期全过程,应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分,应当根据书面的风险评估结果确定验证和数据完整性控制的程度。 原文解读原文解读: 第三条:这一条承接上一条,对风险管理从二个维度提出了具体要求。一个是时间维度,风险管理要求贯穿整个计算机化系统全生命周期,包括概念提出、项目实施、系统运行直到系统引退。这种风险意识其实也正好契合了企业家们的危机意识,当今以任正非为代表的中国企业家们
5、,每天思考的其实不是如何成功,而是怎么避免失败,企业能活下去其实就是成功;另一个维度是潜在后果,即风险如果发生,可能会导致的后果会是什么,人员伤亡、质量投诉、数据丢失等,正是基于对这些后果的考虑,才有了风险管理的现实出发点,即所有的系统设计、安装、使用以及变更,都需要充分患者安全、产品质量、数据完整性的影响。且根据风险评估做出的影响分析,用来作为确定系统验证方案和系统数据完整性控制的依据。 原文内容原文内容: 第四条:企业应当针对计算机化系统供应商的管理制定操作规程,供应商提供产品或服务时(如安装、配置、集成、验证、维护、数据处理等),企业应当与供应商签订正式协议,明确双方责任。企业应当基于风
6、险评估的结果,提供与供应商质量体系和审计信息相关的文件。 原文解读原文解读: 第四条: 这一条其实是明确了对 IT 产品或服务供应商的具体管理要求, 包括供应商管理 SOP,正式的协议或合同。同时,企业应当基于对风险评估的结果,对供应商进行相应的调查、评估,并有实施审计形成文件化的记录,这一条其实还是在强调对供应商的风险管控,风险管理也从内部延伸到了外部。风险管理的影子无处不在,真的是深入到 IT 合规管理的骨髓了。 原文内容原文内容: 第五条:计算机化系统生命周期中所涉及的各种活动,如验证、使用、维护、管理等,需要各相关的职能部门人员之间的紧密合作。应当明确所有使用和管理计算机化系统人员的职
7、责和权限,并接受相应的使用和培训管理。 应当确保有适当的专业人员,对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。 原文解读原文解读: 第五条:该条款特别强调在进行计算机化系统验证整个生命周期当中,一定要事先明确所有使用和管理这些系统人员的职责和权限,这一点很重要,如果事先不能很清晰地界定清楚大家的分工和职责,将会造成验证工作的混乱,相互扯皮、甚至会造成某些环节在管理上的真空。关于这一点,通常要在验证主计划中写明白、写清楚。 大伙除了清楚各自干什么还不够, 你有没有能力把很专业的工作干好、 做到位, 这一点很关键,对于能力达不到的人员,培训就显得尤为重要。培训涉及到接受培训的人员和
8、执行培训的老师二个角色,条款中用了一个词,叫“适当”,其实就是告诉我们对培训人员和培训老师要有适当的要求,包括课程设计、现场指导等。 原文内容原文内容: 第六条:计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。 应当在计算机化系统生命周期中保持其验证状态。 原文解读原文解读: 第六条:这里对计算机化系统的验证范围或对象再次进行了明确,同附录第一条是相呼应的。验证对象包括应用程序(就是软件)和基础架构(包括硬件和网络)。验证的具体范围和程度如何确定呢?答案是基于科学的风险评估,那么风险评估又如何进行呢?答案
9、是要充分考虑该系统的使用范围和用途。这么说有点抽象哈,举例来说,某个系统的使用是否同 GxP 有关或对产品质量有影响,如果有,就需要进行风险评估,同时还要考虑该系统使用范围大小,范围越大,影响越大,风险越高。 此外,该条款特别强调了系统在整个生命周期中验证状态的保持,这一点告诉我们验证工作其实是个常态的工作,而不是一项运动,更不是一项阶段性的工作,需要我们终身坚持不懈地做下去,“不忘初心,方得始终”! 原文内容原文内容: 第七条:企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单,标明与药品生产质量管理相关的功能。清单应当及时更新。 原文解读原文解读: 第七条:这里提到了建立“计
10、算机化系统清单”,这一点很重要,但往往容易被企业所忽视,这也是很多药企在 GMP 现场审核时, 检查官开得最常见的一项主要缺陷项。 为什么这一条在检查官看来很重要呢?原因就在于,作为 CIO 或 IT 部门负责人,你对你所管理的整个 IT 各个系统要有很清晰的一张管理地图,哪些系统需做验证,哪些系统不需做验证;需要做验证的系统,他们的硬件、网络和软件配置如何,能否满足验证和使用的要求,这些配置组件的更改有没有及时更新到清单上来,如果连这一点都做不到,我是检查官的话,我也会判缺陷项的,甚至是严重缺陷项!这一点,请 CIO 们务必重视起来。 原文内容原文内容: 第八条:企业应当指定专人对通用的商业
11、化计算机软件进行审核,确认其满足用户需求。在对定制的计算机化系统进行验证时,企业应当建立相应的操作规程,确保在生命周期内评估系统的质量和性能。 原文解读原文解读: 第八条:这一条说的其实是对需要做验证的系统或软件进行一个分类,即商业化软件(无需定制开发)和定制开发软件这二大类。显然,这二大类的软件本身的技术复杂程度,我们无法评估,我们要考虑的其实是使用这些系统所带来的风险,前者成熟稳定,经过了长时间市场和时间的检验;后者新颖独创,很多潜在的 Bug 尚未被发现,需要经过实际的使用和时间的检验才能被证明是否稳定、可靠。所以,前者仅需做审核、确认就够了,而后者则需建立严格的操作规程,严格的测试,验
12、证其系统的稳定性和产品的健壮性,二者验证的所要求的程度是不一样。 原文内容原文内容: 第九条:数据转换格式或迁移时,应当确认数据的数值及含义没有改变。 原文解读原文解读: 第九条:这一条很好理解,举例来说在做系统升级时,升级后的系统迁移过来的数据的数值和含义必须是同升级前系统的数据保持一致。这是最基本的要求,否则系统升级就是不成功的。 原文内容原文内容: 第十条:系统应当安装在适当的位置,以防止外来因素干扰。 原文解读原文解读: 第十条:该条款首先从环境和安全的角度,提出了系统安装的位置,以防止外来因素的干扰。这其实是说系统对机房或其他办公环境的要求,包括室内的温度、湿度、防尘、防潮、防盗等要
13、求,所以,企业应首先建立机房管理规程,保障机房、机房内软硬件及相关附属设备安全、稳定运行。 原文内容原文内容: 第十一条:关键系统应当有详细阐述的文件(必要时,要有图纸),并需及时更新。此文件应当详细描述系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征,以及如何与其他系统和程序对接。 原文解读原文解读: 第十一条:该条款对关键系统的技术资料提出了具体要求,比如功能说明书、硬件设计说明、系统概要设计和详细设计,目的是要表述清楚整个系统的工作原理、安全措施、运行方式以及与外部系统的接口等,为后续系统的升级、维护提供技术交底材料。 原文内容原文内容: 第十二条:软件是计算机化系统的
14、重要组成部分。企业应当根据风险评估的结果,对所采用软件进行分级管理(如针对软件供应商的审计),评估供应商质量保证系统,保证软件符合企业需求。 原文解读原文解读: 第十二条:该条款是在强调对软件的分级管理,为何要做分级管理呢?根本原因还是要做软件的风险管控。如果软件是向供应商购买的或委托供应商定制开发的,基于风险评估结果,必要时企业需对该软件供应商进行审计,评估供应商的质量保证体系,确保软件功能可靠、性能稳定、数据完整,满足企业使用需求。 原文内容原文内容: 第十三条:在计算机化系统使用之前,应当对系统进行全面测试,并确认系统可以获得预期的结果。当计算机化系统替代某一人工系统时,可采用两个系统(
15、人工和计算机化)平行运行的方式作为测试和验证内容的一部分。 原文解读原文解读: 第十三条:这里强调了系统正式使用前,应该经过充分而全面的测试,并最终测试合格,通过验收。至于需要做哪些类型的测试以及测试做到什么程度,取决于上一条款提到的风险评估结果和软件分级管理。最常见的测试类型,包括模块单元测试、系统集成测试以及用户接受测试等。条款提到的人工和计算机化系统平行运行的方式,其实是系统切换上线后,有一个试运行阶段,该阶段结束后,将试运行期间人工记录数据和系统运行数据进行比对,根据比对后的结果,做最终的验证结论,本质上也是验证系统是否可靠的一种手段。 原文内容:原文内容: 第十四条:只有经许可的人员
16、才能进入和使用系统。企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。 应当就进入和使用系统制订授权,取消以及授权变更的操作规程。必要时,应当考虑系统能记录未经许可的人员试图访问系统的行为。对于系统自身缺陷,无法实现人员控制的,必须具有书面程序、相关记录以及相关物理隔离手段,保证只有经许可的人员方能进行操作。 原文解读原文解读: 第十四条:该条款对系统的权限管理,提出了二个方面的管控:一个是进入系统,另一个是使用系统。前者只是浏览系统,获取信息,比如相关人员和领导;后者则要实实在在要在系统中进行业务操作。这是需要考虑的权限控制范围,具体该如何进行权限控制的操作呢? 条款明确指出要制定系统权限管理 SOP,内容包括授权、取消授权以及权限变更流程。同时,在系统设计时,需具备记录未经许可的人员试图访问系统行为的功能。但如果系统之前的设计和功能存在缺陷, 不能对人员的权限进行控制的话, 则必须制定书面程序, 线下做好相关的记录和手续,做到人员在物理上进入和使用系统的控制。 原文内容原文内容: 第十五条:当
